Passer au contenu principal

IA

Matrice des champs d’application de la sécurité pour l’IA générative

Présentation

Alors que les entreprises adoptent de plus en plus de technologies d’IA générative, il est essentiel de comprendre les implications en matière de sécurité. Les domaines de sécurité fondamentaux, telles que la gestion des identités et des accès, la protection des données, la confidentialité, la conformité, la sécurité des applications et la modélisation des menaces, restent d’une importance cruciale pour les charges de travail d’IA générative, comme ils le sont pour toute autre charge de travail. Mais au-delà des bonnes pratiques de sécurité habituelles, il est essentiel de comprendre les nouveaux risques et les exigences spécifiques que les charges de travail d’IA générative introduisent.

La matrice des champs d’application de la sécurité pour l’IA générative est un cadre complet conçu pour aider les entreprises à évaluer et à mettre en œuvre des contrôles de sécurité tout au long du cycle de vie de l’IA. Elle répartit les considérations de sécurité en catégories spécifiques, permettant une approche ciblée de la sécurisation des applications d’IA.
 

Matrice des champs d’application de la sécurité pour l’IA générative

Un modèle pour classer les cas d’utilisation

Détermination de votre champ d’application

La première étape consiste à déterminer dans quel champ d’application s’inscrit votre cas d’utilisation. Les champs d’application sont numérotés de 1 à 5, représentant le degré de propriété de votre entreprise sur le modèle d’IA et les données qui y sont associées, du plus faible au plus élevé.

Votre entreprise utilise un service public d’IA générative tiers, gratuit ou payant. Il s’agit souvent d’applications « destinées au grand public », qui ne sont pas nécessairement destinées à un usage professionnel ou commercial. Pour ce champ d’application, vous ne possédez ni ne visualisez les données d’entraînement ou le modèle, et vous ne pouvez ni les modifier ni les augmenter. Vous invoquez des API ou utilisez directement l’application conformément aux conditions d’utilisation du fournisseur.

Exemple : un employé interagit avec une application de chat basée sur l’IA générative via un site Web public afin de générer des idées pour une prochaine campagne marketing.
 

Votre entreprise utilise une application d’entreprise tierce qui intègre des fonctionnalités d’IA générative, et une relation commerciale est établie entre votre entreprise et le fournisseur. Les applications du champ d’application 2 disposent souvent de conditions générales destinées aux clients d’entreprise, conçues pour offrir des protections supplémentaires.

Exemple : vous utilisez une application de planification d’entreprise tierce qui intègre une fonctionnalité d’IA générative pour vous aider à rédiger les ordres du jour des réunions.
 

Votre entreprise crée sa propre application en utilisant un modèle de fondation d’IA générative tiers existant. Vous l’intégrez directement à votre charge de travail via une interface de programmation d’application (API).

Exemple : vous créez un chatbot de support client qui intègre vos propres données à l’aide de la génération à enrichissement contextuel (RAG) et exploite le modèle de fondation Anthropic Claude via les API Amazon Bedrock.
 

Votre entreprise optimise un modèle de fondation d’IA générative tiers existant en le peaufinant avec des données spécifiques à votre activité, générant un nouveau modèle amélioré, adapté à votre charge de travail.

Exemple : vous avez besoin d’un modèle doté d’une expertise approfondie dans le domaine médical pour synthétiser les dossiers des patients dans un système de dossier patient informatisé. Le peaufinage peut être utilisé pour aligner les résultats du système sur le style attendu par le personnel médical et pour entraîner le système à la terminologie spécifique au domaine.
 

Votre entreprise crée et entraîne un modèle d’IA générative à partir de zéro en utilisant les données dont elle dispose ou qu’elle acquiert. Votre entreprise est propriétaire de tous les aspects du modèle.

Exemple : votre entreprise souhaite créer un modèle permettant de générer du contenu vidéo de haute qualité, par exemple en élaborant une solution personnalisée pour l’interpolation vidéo au super ralenti. En entraînant un modèle à partir de données vidéo spécialisées, vous pouvez concéder sous licence cette technologie de création vidéo avancée à des entreprises du secteur des médias et du divertissement.
 

Points à prioriser

Vous avez défini le champ d’application de votre charge de travail et vous devez maintenant permettre à votre entreprise d’avancer de façon rapide et sûre. Dans la matrice des champs d’application de la sécurité pour l’IA générative, nous identifions cinq domaines de sécurité qui couvrent les différents types de solutions d’IA générative.

  • Gouvernance et conformité : les politiques, procédures et rapports nécessaires pour renforcer les capacités de l’entreprise tout en minimisant les risques.
  • Juridique et confidentialité : les exigences réglementaires, légales et en matière de confidentialité spécifiques à l’utilisation ou à la création de solutions d’IA générative.
  • Gestion des risques : l’identification des menaces potentielles pour les solutions d’IA générative et les mesures d’atténuation recommandées.
  • Contrôles : la mise en œuvre de contrôles de sécurité utilisés pour atténuer les risques.
  • Résilience : comment concevoir des solutions d’IA générative pour maintenir la disponibilité et respecter les contrats de niveau de service de l’entreprise.

Explorons quelques exemples d’opportunités que vous devriez privilégier.

Considérations de sécurité selon le champ d’application

Gouvernance et conformité

Lors de la gestion des champs d’application 1 et 2, il est essentiel de respecter les conditions générales d’utilisation, les accords de licence et les exigences de souveraineté des données. Pour les applications relevant du champ d’application 1, privilégiez l’utilisation de données publiques et non exclusives, les fournisseurs de services pouvant utiliser les données soumises pour améliorer leurs modèles ou services. Les applications relevant du champ d’application 2 doivent être développées avec des contrôles fiables, des protections contractuelles et des options de retrait afin de protéger les données exclusives et sensibles de votre entreprise, en veillant à ce qu’elles ne soient pas utilisées pour l’entraînement ou l’amélioration des modèles. Ces applications sont généralement conçues pour des cas d’utilisation en entreprise.

Pour les tâches spécifiques à votre entreprise ou aux besoins de vos clients, telles que la synthèse de données exclusives ou sensibles, la génération d’informations analytiques uniques ou l’automatisation de processus internes, il peut être nécessaire de développer votre propre application à partir des champs d’application 3 à 5. Ceux-ci permettent l’utilisation de vos données pour l’entraînement, le peaufinage ou en tant que sortie de modèle. Par exemple, même si vous n’effectuez pas de peaufinage ou d’entraînement de vos données dans les grands modèles de langage du champ d’application 3, vous pouvez toujours exploiter la génération à enrichissement contextuel (RAG), les bases de connaissances et les agents pour enrichir les réponses du modèle et les actions contextuelles, sans peaufiner le modèle lui-même.

Dans les champs d’application 4 et 5, entraînez votre modèle sur des données spécifiques à votre domaine, en évitant les données sensibles telles que les données d’identification personnelle (PII). Assurez-vous que le modèle résultant soit classé au même niveau de sensibilité que les données les plus sensibles utilisées lors de son entraînement. L’accès à l’inférence sur le modèle doit être restreint aux utilisateurs autorisés pour ce niveau de classification. Pour des données comme les PII ou les données transactionnelles fréquemment modifiées, envisagez de les réintégrer lors de l’inférence via la RAG ou des flux de travail basés sur des agents, plutôt que de les incorporer directement dans le modèle.

Juridique et confidentialité

En ce qui concerne les champs d’application 1 à 4 du point de vue juridique, il est essentiel de bien comprendre le contrat de licence d’utilisateur final (CLUF), les conditions générales d’utilisation et tout autre accord contractuel nécessaire à l’utilisation des services du fournisseur. Pour le champ d’application 5, vos équipes juridiques doivent établir leurs propres conditions générales d’utilisation pour toute utilisation externe de vos modèles. Par ailleurs, pour les champs d’application 3 et 4, veillez à valider à la fois les conditions légales du fournisseur de services pour l’utilisation de son service, et celles du fournisseur de modèles pour l’utilisation de son modèle au sein de ce service.

De plus, prenez en compte les préoccupations liées à la vie privée si les exigences du « droit à l’effacement » ou du « droit à l’oubli » du Règlement général sur la protection des données (RGPD) de l’Union européenne s’appliquent à votre entreprise. Réfléchissez attentivement à l’impact de l’entraînement ou du peaufinage de vos modèles avec des données que vous pourriez devoir supprimer sur demande. La seule façon totalement efficace de retirer des données d’un modèle consiste à supprimer les données du jeu d’entraînement et à entraîner une nouvelle version du modèle. Cette opération peut toutefois s’avérer complexe et coûteuse, surtout si la suppression ne concerne qu’une petite partie des données ou si votre modèle est très volumineux.

Gestion des risques

Bien que les applications utilisant l’IA ressemblent à des applications traditionnelles, leur nature interactive avec les grands modèles de langage (LLM) nécessite une vigilance accrue et des barrières de protection spécifiques. Il est essentiel d’identifier les risques associés aux charges de travail de l’IA générative et de commencer à les atténuer.

L’identification des risques peut généralement se faire par des évaluations de risques et la modélisation des menaces. Pour les champs d’application 1 et 2, évaluez les risques provenant des prestataires tiers et comprenez leurs stratégies d’atténuation des risques. Vous devez également reconnaître vos propres responsabilités en matière de gestion des risques en tant que consommateur de services.

Pour les champs d’application 3, 4 et 5, mettez en œuvre une modélisation des menaces qui couvre à la fois les risques liés à la sécurité de l’IA et à la sécurité des données, en mettant l’accent sur les menaces spécifiques aux LLM, comme l’injection d’invite. Cela implique de concevoir des entrées capables de manipuler les réponses des LLM, pouvant entraîner des violations de données ou un accès non autorisé. Les recommandations récentes du NIST, du MITRE et de l’OWASP identifient l’injection d’invite comme une menace majeure, comparable aux attaques par injection traditionnelles telles que l’injection SQL. Atténuez ce risque en appliquant un mécanisme d’autorisation et un filtrage des données précis avant qu’elles n’atteignent le LLM, et utilisez les barrières de protection Bedrock pour une protection supplémentaire.

Les menaces émergentes dans l’IA générative nécessitent d’adapter les mesures traditionnelles de cybersécurité et de collaborer étroitement avec les équipes de développement afin de modéliser efficacement les menaces et d’établir des bonnes pratiques adaptées.

Contrôles

La mise en œuvre de contrôles fiables est essentielle pour faire respecter les exigences de conformité, de politique et de sécurité, et ainsi réduire les risques associés aux charges de travail d’IA générative. L’une des considérations clés est la gestion des identités et des accès à vos modèles. Contrairement aux bases de données traditionnelles qui offrent des contrôles de sécurité précis, les modèles de fondation n’intègrent aucun concept de contrôle d’accès aux données stockées dans le modèle ou fournies au moment de l’inférence. Il est donc essentiel de mettre en œuvre un contrôle d’accès basé sur le principe du moindre privilège pour les données avant qu’elles ne soient ajoutées comme contexte dans la requête d’inférence.

Pour y parvenir, vous pouvez exploiter des couches applicatives qui interagissent avec le modèle via des points de terminaison tels qu’Amazon Bedrock. Ces couches doivent intégrer des solutions d’identité telles qu’Amazon Cognito ou AWS IAM Identity Center pour authentifier et autoriser les utilisateurs. En adaptant l’accès en fonction des rôles, des attributs et des communautés d’utilisateurs, vous pouvez restreindre certaines actions et contribuer à garantir la protection des données sensibles.

De plus, à mesure que vos charges de travail d’IA évoluent, il est important d’évaluer et de mettre à jour continuellement vos contrôles afin de s’adapter aux nouvelles menaces et aux changements de sensibilité des données. L’intégration de techniques avancées telles que la génération à enrichissement contextuel (RAG) peut vous permettre de fournir des données en temps réel sans compromettre l’intégrité du modèle. Ces stratégies, combinées à une modélisation continue des menaces, contribuent à maintenir un environnement sécurisé et conforme pour vos applications d’IA générative. 

Résilience

La disponibilité est un élément clé de la sécurité, tel que le souligne le modèle de sécurité de l’information triade C.I.A. La création d’applications résilientes est essentielle pour répondre aux exigences de disponibilité et de continuité des activités de votre entreprise. Pour les champs d’application 1 et 2, vous devez comprendre comment la disponibilité du fournisseur s’aligne sur vos besoins et vos attentes. Réfléchissez attentivement à la manière dont les interruptions pourraient affecter votre activité si le modèle sous-jacent, l’API ou la couche de présentation devenaient indisponibles. De plus, prenez en compte l’impact des invites et des réponses complexes sur les quotas d’utilisation, ainsi que les éventuelles répercussions sur la facturation de l’application.

Pour les champs d’application 3, 4 et 5, assurez-vous de définir des délais d’attente appropriés pour tenir compte des invites et réponses complexes. Vous pouvez également examiner la taille des entrées d’invite par rapport aux limites de caractères allouées par votre modèle. Prenez également en considération les bonnes pratiques existantes pour des conceptions résilientes, telles que les modèles de tentatives avec temporisation progressive et de type disjoncteur, afin d’atteindre l’expérience utilisateur souhaitée. Lors de l’utilisation de bases de données vectorielles, il est recommandé de disposer d’une configuration à haute disponibilité et d’un plan de reprise après sinistre pour davantage de résilience face aux différents modes de défaillance.

La flexibilité des instances pour les pipelines de modèles d’inférence et d’entraînement constitue une considération architecturale importante, en plus de la possibilité de réserver ou de préallouer des ressources de calcul pour des charges de travail critiques. Lors de l’utilisation de services gérés tels qu’Amazon Bedrock ou SageMaker, vous devez vérifier la disponibilité de la région AWS et la parité des fonctionnalités lors de la mise en œuvre d’une stratégie de déploiement multirégional. De même, pour la prise en charge multirégionale des charges de travail des champs d’application 4 et 5, vous devez prendre en compte la disponibilité de vos données de peaufinage ou d’entraînement dans chaque région. Si vous utilisez SageMaker pour entraîner un modèle dans le champ d’application 5, utilisez des points de contrôle pour enregistrer la progression de l’entraînement. Ainsi, si nécessaire, vous pouvez reprendre l’entraînement à partir du dernier point de contrôle.

Assurez-vous de passer en revue et de mettre en œuvre les bonnes pratiques existantes en matière de résilience des applications établies dans l’ AWS Resilience Hub, ainsi que dans le pilier Fiabilité et le pilier Excellence opérationnelle du cadre Well-Architected.